Af Tine Munch Pedersen, Principal Consultant i Devoteam
Når tekniske, regulatoriske IT-discipliner og mennesker mødes, opstår der ofte problemer med forståelse og adfærd. I praksis betyder det, at effekten af indsatsen udebliver. Det er derfor vigtigt at anerkende, at arbejdet med cyber security både indeholder en teknologisk og en menneskelig del, og at den sidste er mindst lige så vigtig som den første.
Identity Access Management (IAM) er et af de sikkerhedsmæssige områder, som organisationer kan have tendens til at opfatte som en ren teknisk disciplin, hvor det menneskelige element bliver overset.
Kort fortalt er IAM det system, som håndterer digital identitet og adgangsrettigheder for medarbejderne inden for organisationen eller på tværs af flere systemer. Det handler om at sikre, at medarbejderne kun har adgang til de nødvendige systemer og oplysninger. Implementering og vedligeholdelse af et effektivt IAM-system er dermed afgørende for at beskytte organisationens data og ressourcer mod uautoriseret adgang.
Med udgangspunkt i nogle af de typiske udfordringer, vi ser hos kunder, får du her tre råd til at arbejde fokuseret med den menneskelige del af Identity Access Management. Rådene tager udgangspunkt i situationer hos virksomheder, der endnu ikke har investeret i et moderne IAM set-up.
1. IAM er en dårlig medarbejderoplevelse
Situation:
Der er udbredt frustration blandt medarbejderne over organisationens IAM, fordi den opleves som alt for besværlig og manuel. De mangler overblik over udfordringerne, og derfor er det vanskeligt at gå i gang med at løse dem.
Risici:
Når arbejdet med IAM er frustrerende, er der risiko for “lette løsninger”. Det kan fx medføre, at medarbejderne får flere rettigheder, end de har arbejdsmæssigt behov for. Det øger risikoen for misbrug og dårlig compliance. Arbejdet med at skabe et moderne og sikkert fundament for kundens IAM udskydes længe, fordi det opleves som uoverskueligt at gå i gang med.
Løsning: Service blueprints giver overblik og har fokus på brugeroplevelsen
Service blueprint-metoden fokuserer på brugerens oplevelse af en proces. At udarbejde service blueprints på de forskellige IAM-processer giver følgende værdi:
- Skelnen mellem hhv. “Frontend” og “Backend” i processerne gør det muligt at fokusere på brugeroplevelsen (Frontend) og fremhæve forbedringer, der kan udføres med et lille ressourceforbrug.
- Medarbejdernes vurdering af processerne fx illustreret med glade eller sure smileys danner grundlag for at prioritere indsatser, som skal forbedres på den korte bane.
- Et klart billede af pain points, der skal håndteres i et fremtidigt set-up, medvirker til at skabe en vision for arbejdet.
2. IAM-teamet og forretningen taler ikke samme sprog
Situation:
IAM-teamet har en regulatorisk-teknisk indgangsvinkel, når de kommunikerer med resten af organisationen. Det gør kommunikationen bureaukratisk og svær at handle på for systemejere og ledere, der er ansvarlige for rettighederne rundt omkring i organisationen.
Ricisi:
Forretningen forstår ikke, hvad IAM-enheden har brug for. Det medfører risiko for manglende implementering af processerne som fx kontroller, der ikke bliver gennemført til tiden. Det øger også risikoen for, at medarbejdere har rettigheder, de ikke har arbejdsmæssigt behov for, og der kan dermed opstå misbrug.
Løsning: Brugerfokuseret IAM-kommunikation gør samarbejdet lettere
IAM-teamets intranet, e-mails, formularer osv. bliver redigeret med et udefra-og-ind perspektiv med fokus på konkrete handlinger frem for lovgrundlag og teknik. Kommunikationsmaterialet bliver brugertestet af målgruppen og tilrettet efter deres behov.
Det giver følgende værdi:
- Forretningen får lettere ved at udføre de opgaver, IAM-teamet har brug for.
- IAM-teamet bliver belastet mindre af spørgsmål fra samarbejdspartnere i organisationen.
- Flere IAM-opgaver bliver udført korrekt og til tiden, hvilket medfører bedre compliance og implementering af processerne.
3. Der er ingen klar vision for brugerfokuseret IAM
Situation:
Organisationen ønsker at skabe IAM, som er langt mindre belastende for organisationen og benytte sig af moderne, automatiseret teknologi og processer. Men det er svært at komme i gang, da der ikke findes et klart billede af den fremtidige brugeroplevelse, som interessenterne kan arbejde efter som fælles vision.
Risici:
Beslutningen om at investere i et moderne IAM set-up trækker ud. Det betyder, at organisationen lever længe med et IAM set-up, som er risikofyldt pga. mange manuelle processer, og det skaber en dårlig medarbejderoplevelse.
Løsning: Prototype på en fremtidig løsning skaber klarhed
En prototype skabt i et kort design thinking-forløb med involvering af interessenter og brugere giver følgende værdi:
- Brugere, IAM-teamet og ledere mødes i et uformelt forum med fokus på konkrete løsninger. Det skaber gensidig forståelse og dermed bedre kommunikation.
- En helt simpel prototype, der er udarbejdet i samarbejde mellem de vigtigste interessenter, kan benyttes til at skabe klarhed over, hvilke leverandører af platforme og implementering, der vil skabe størst værdi i organisationen.
- Med udgangspunkt i medarbejderoplevelsen bliver der taget konkret stilling til, hvordan en fremtidig løsning skal tilpasses organisationen og hvilke principper, der skal gælde. Det hjælper til hurtigere at bygge den endelige løsning.
Konklusion
Identity Access Management er ikke kun en teknologisk udfordring; det kræver også en menneskelig forståelse og tilgang. Ved at forbedre brugeroplevelsen, skabe klar og handlingsorienteret kommunikation samt udvikle en fælles vision for fremtidige løsninger, kan organisationer opnå en mere effektiv og sikker IAM-struktur.
Læs også: Brugeradoption er nøglen til høj ROI for Enterprise Service Management
Vil du vide mere?
Vi er altid klar til at tage en uforpligtende snak om, hvordan vi kan hjælpe jeres organisation med at arbejde med brugerfokuseret IAM. Du er velkommen til at kontakte Principal Consultant, Tine Munch Petersen, på mail tine.pedersen@devoteam.com for at høre mere om emnet.